スミッシングとは?急増するSMS詐欺の手口を解説

特集記事

ソーシャルエンジニアリング

身に覚えのないSMSが送られてきた経験はないでしょうか。最近報告が増えている「スミッシング」について改めて知り、被害に遭わないための対策を考えていきましょう。

スミッシングとは?

そもそもスミッシングとは、SMS(ショートメッセージサービス)と フィッシングを足した言葉で、SMSを利用したフィッシング詐欺(偽のメッセージから個人情報やクレジットカード番号などを騙し取ろうとする行為)のことを言います。
電話番号と紐づいているSMSは一般的なメールに比べて相手に届きやすく、また開封率も高いと言われています。そのため企業も重要なお知らせや本人認証のためにSMSを利用することが多いようです。パソコンやスマートフォンに大量に届くメールは読み忘れてしまっても、SMSはすぐに確認するという人も多いのではないでしょうか。
犯罪者もその傾向を利用し、SMSでもフィッシング詐欺を行うようになりました。電話番号だけでメールと同じようにメッセージが送れる上に、メールよりも無視されにくいSMSは犯罪者側にとっても魅力的なのです。

例えばこんな偽SMS

よく見られるスミッシングの事例をご紹介します。

① 宅配便業者を装った偽SMS

宅配便業者の再配達手続きに見せかけた偽SMSが多く見られています。「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました」といった偽のメッセージを送りつけ、そこに貼られているURLから危険なアプリを入れさせたり、誘導した偽サイトから個人情報を入力させたりします。
オンラインセキュリティではこのようなSMS経由でAppleIDを入力してしまい、アカウントを乗っ取られてしまった方の事例も紹介しています。

体験談はこちら:宅配便を装う偽SMS。アクセスしたらどうなるの? ~被害者に聞いた、アカウント乗っ取り事例~

https://www.onlinesecurity.jp/feature/210730.html

② 通信業者を装った偽SMS

通信業者を装った偽SMSも増加しています。こちらは「利用停止予告」「料金が未払いです」等のメッセージでサイトへのアクセスを促す事例が報告されています。
通信が生活に必要不可欠なユーザーの不安を煽って焦らせるこのような偽SMSは2021年頃から報告が多くなり、各通信業者からも通達が出ています。

例:株式会社NTTドコモ「通信事業者などを装うフィッシング詐欺にご注意ください」
https://www.nttdocomo.co.jp/info/notice/pages/210721_00.html

この他にも、銀行やショッピングサイト、個人的なメッセージを装ったものなど様々な偽SMSが確認されています。

対策方法

スミッシングの被害を防ぐための対策方法をまとめました。

・URLをタップする前に正規のサイト等から情報を確認する

身に覚えのないSMSが届いたら、URLをタップする前に、正規のサイトなどにアクセスして正しい情報かどうかを確認しましょう。正規サイトが、お知らせや注意喚起によってそのSMSに関する情報を発表しているかもしれません。また、届いたメッセージのテキストを検索することで情報が得られる場合もあります。

・「緊急」「利用停止のお知らせ」等の対応を急がせる内容のSMSには注意

犯罪者側はとにかくメッセージを開かせて偽サイトへのアクセスやアプリのインストールをさせるため、受信した人を焦らせるような内容のSMSを送ってくることが多いです。このようなメッセージ内のURLは安易にタップせず、公式サイトなど正規の連絡先を調べてから確認を取ってください。

・パスワードや個人情報を安易に入力しない

SMS内に記載されたURLをタップすると、その先のWEBサイトでID、パスワード、認証コード、クレジットカード情報などの入力を求められることがあります。実在する企業(宅配便業者、通信業者など)のサイトに見た目がそっくりなことも多く、騙されて情報を入力してしまうと犯罪者側があなたの情報を手に入れてしまい、金銭被害やアカウント乗っ取りなどの被害に繋がります。重要な情報の入力を求められてもすぐに入力せず、まずは確認することを意識していきましょう。

まとめ

今回はスミッシングについてご紹介しました。メールを利用したフィッシング詐欺と同様に、スミッシングについても事例や対策方法をよく理解しておくことが重要です。
犯罪者側は今後も騙りやすいサービス名などを使って偽のメッセージを送ってくることが予想されます。変わっていくネット詐欺事情に敏感になり、自分や周りの人を犯罪者から守りましょう。

  • スミッシングとはSMS(ショートメッセージサービス)経由のフィッシング詐欺のこと
  • 宅配業者や通信業者などを偽り「手続きしたくなる」メッセージ内容が多く見られる
  • URLをタップする前に正規のサイトにアクセスして確認する
  • 怪しいSMSの内容を検索して情報を収集する
  • 個人情報を入力する場合は正規のサイトかどうか再度の確認を